Podle čl. 9 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen "Nařízení"), platí zákaz zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Zákon č. 110/2019 Sb., o zpracování osobních údajů, k tomuto výčtu přidává i údaje týkající se rozsudků v trestních věcech a trestných činů nebo souvisejících bezpečnostních opatření.
Výjimku z výše uvedeného zákazu představují podle Nařízení případy, kdy (i) je udělen výslovný souhlas subjektu údajů s předmětným zpracováním, nebo v případech, kdy je zpracování nezbytné, (ii) pro účely plnění povinností v oblasti pracovního práva / práva sociálního zabezpečení, (iii) pro ochranu životně důležitých zájmů subjektu údajů, (iv) pro uplatnění právních nároků a soudní řízení, (v) pro účely preventivního nebo pracovního lékařství, (vi) z důvodu veřejného zájmu v oblasti ochrany veřejného zdraví, (vii) pro účely archivace ve veřejném zájmu, výzkumu a statistické účely. Nařízení rovněž připouští zpracování těchto údajů v případech, kdy se zpracování týká (viii) osobních údajů zjevně zveřejněných subjektem údajů.
Vzhledem k tomu, že otisky prstů mají zásadně povahu biometrických údajů, považuje se jejich pořízení a další zpracování (včetně šablon) zahrnující i zpracování za účelem identifikace dotčené osoby za zpracování zvláštní kategorie osobních údajů.
Pokud vaše společnost hodlá instalovat snímač na otisk prstů za účelem identifikace osob, resp. zaměstnanců pro účely vedení jejich docházky, pak lze mít (s ohledem na zrušení dosavadního stanoviska Úřadu pro ochranu osobních údajů k otázce zpracování biometrických údajů a zveřejněného upozornění po nabytí účinnosti Nařízení) zato, že tak bude možné učinit jen na základě souhlasu samotných zaměstnanců (neboť v tomto případě nelze podřadit jakoukoli jinou výjimku umožňující předmětné zpracování osobních údajů).
Současně je třeba v případě instalace a dalšího provozu systému monitorujícího otisky prstů pamatovat na zajištění přísnějšího systému ochrany zpracovávaných osobních údajů (například šifrováním, oddělením databáze obsahující otisky prstů apod.).
Úřad pro ochranu osobních údajů navrhoval, aby bylo do zákoníku práce přidáno ustanovení opravňující zaměstnavatele k užívání biometrických údajů zaměstnance pro podobné účely, tento návrh však zatím nebyl přijat.